Exportar Registos de Auditoria de Caixas de Correio

 

Aplicável a: Office 365 for professionals and small businesses, Office 365 for enterprises, Live@edu

Data da última modificação do tópico: 2011-11-23

Quando a auditoria é activada para uma caixa de correio, o Microsoft Exchange regista informações no registo de auditoria de caixa de correio sempre que um utilizador que não seja o proprietário aceder à caixa de correio. Cada entrada existente no registo inclui informações sobre quem acedeu à caixa de correio e quando, as acções efectuadas pelo não proprietário e se a acção teve êxito ou não. As entradas no registo de auditoria de caixa de correio são retidas durante 90 dias por predefinição. É possível utilizar o registo de auditoria de caixa de correio para determinar se esta foi acedida por um utilizador que não seja o proprietário.

Quando exporta entradas a partir de registos de auditoria de caixas de correio, o Microsoft Exchange guarda as entradas num ficheiro XML e anexa-o a uma mensagem de correio electrónico enviada para os destinatários especificados.

Este tópico explica o seguinte:

Configurar o registo de auditoria de caixas de correio

Tem de activar o registo de auditoria em cada caixa de correio que pretenda auditar antes de poder exportar e ver os registos de auditoria de caixa de correio. Também terá de configurar o Outlook Web App para permitir anexos XML.

Activar o registo de auditoria de caixas de correio

Tem de activar o registo de auditoria para cada caixa de correio em que pretenda executar um relatório de acesso de não proprietários. Se o registo de auditoria de caixas de correio não estiver activado para uma caixa de correio, não obterá quaisquer resultados quando exportar o registo de auditoria de caixas de correio.

Para activar o registo de auditoria para uma única caixa de correio, execute o seguinte comando do PowerShell:

Set-Mailbox <Identity> -AuditEnabled $true

Para activar a auditoria para todas as caixas de correio de utilizador da sua organização, execute os comandos seguintes:

$UserMailboxes = Get-mailbox -Filter {(RecipientTypeDetails -eq 'UserMailbox')}
$UserMailboxes | ForEach {Set-Mailbox $_.Identity -AuditEnabled $true}
Configurar o Outlook Web App para permitir anexos XML

Quando exportar o registo de auditoria de caixas de correio, o Microsoft Exchange anexa o registo de auditoria, que é um ficheiro XML, a uma mensagem de correio electrónico. No entanto, o Outlook Web App bloqueia os anexos XML por predefinição. Para poder aceder ao registo de auditoria exportado, terá de configurar o Outlook Web App para permitir anexos XML.

Execute o comando seguinte para permitir anexos XML no Outlook Web App:

Set-OwaMailboxPolicy -Identity OwaMailboxPolicy-Default -AllowedFileTypes '.rpmsg','.xlsx','.xlsm','.xlsb','.tiff','.pptx','.pptm','.ppsx','.ppsm','.docx','.docm','.zip','.xls','.wmv','.wma','.wav','.vsd','.txt','.tif','.rtf','.pub','.ppt','.png','.pdf','.one','.mp3','.jpg','.gif','.doc','.bmp','.avi','.xml'
Exportar o registo de auditoria de caixas de correio

  1. Seleccione Gerir a Minha Organização > Funções e Auditoria > Auditoria.

  2. Clique em Exportar o registo de auditoria de caixas de correio.

  3. Configure os critérios de pesquisa seguintes para exportar as entradas do registo de auditoria de caixas de correio:

    • Datas de início e fim Seleccione o intervalo de datas das entradas a incluir no ficheiro exportado.

    • Caixas de correio para pesquisa do registo de auditoria Seleccione as caixas de correio cujas entradas do registo de auditoria pretende obter.

    • Tipo de acesso de não proprietário Seleccione uma das opções seguintes para definir o tipo de acesso de não proprietário cujas entradas pretende obter:

      • Todos os não proprietários   Procure acesso por administradores e utilizadores delegados dentro da organização, e por administradores do datacenter da Microsoft.

      • Utilizadores externos   Procure acesso por administradores do datacenter da Microsoft.

      • Administradores e utilizadores delegados   Procure acesso por administradores e utilizadores delegados dentro da organização.

      • Administradores   Procure acesso por administradores dentro da organização.

    • Destinatários Seleccione os utilizadores para os quais o registo de auditoria de caixas de correio deve ser enviado.

  4. Clique em Exportar.

    O Microsoft Exchange obtém as entradas do registo de auditoria de caixas de correio correspondentes aos critérios de pesquisa, guarda-as num ficheiro chamado SearchResult.xml e anexa o ficheiro XML a uma mensagem de correio electrónico que é enviada para os destinatários que especificou.

  5. Clique em Exportar.

    O Microsoft Exchange obtém as entradas do registo de auditoria de administrador correspondentes aos critérios de pesquisa, guarda-as num ficheiro chamado SearchResult.xml e anexa o ficheiro XML a uma mensagem de correio electrónico que é enviada para os destinatários que especificou.

Nota Para aceder e executar qualquer um dos relatórios no separador Relatórios de Auditoria do Painel de Controlo do Exchange, é necessário atribuir as permissões necessárias a um utilizador. Para mais informações, consulte a secção "Atribuir aos utilizadores acesso a Relatórios de Auditoria" de Utilizar Relatórios de Auditoria no Exchange Online.

Ver o registo de auditoria de caixas de correio

Para abrir ou guardar o ficheiro SearchResult.xml:

  1. Inicie sessão na caixa de correio para a qual o registo de auditoria de caixas de correio foi enviado.

  2. Na Pasta A Receber, abra a mensagem que contém o anexo de ficheiro XML enviado pelo Microsoft Exchange. Repare que o corpo da mensagem de correio electrónico contém os critérios de pesquisa.

  3. Clique no anexo e seleccione a opção para abrir ou guardar o ficheiro XML.

Entradas do registo de auditoria de caixas de correio

O exemplo seguinte mostra uma entrada do registo de auditoria de caixas de correio contida no ficheiro SearchResult.xml. Cada entrada é precedida pela tag XML <Event> e termina com a tag XML </Event>. Esta entrada mostra que o administrador removeu a mensagem com o assunto, "Notification of litigation hold" da pasta Itens Recuperáveis da caixa de correio de tamaraj a 30 de Abril de 2010.

<Event MailboxGuid="6d4fbdae-e3ae-4530-8d0b-f62a14687939" 
  Owner="PPLNSL-dom\tamaraj50001-1363917750" 
  LastAccessed="2010-04-30T11:01:55.140625-07:00" 
  Operation="HardDelete" 
  OperationResult="Succeeded" 
  LogonType="Admin"
 FolderId="0000000073098C3277988F4CB882F5B82EBF64610100A7C317F68C24304BBD18ABE1F185E79B00000026BD4F0000"
  FolderPathName="\Recoverable Items\Deletions"
  ClientInfoString="Client=OWA;Action=ViaProxy" 
  ClientIPAddress="10.196.241.168" 
  InternalLogonType="Owner"
  MailboxOwnerUPN=tamaraj@contoso.com
  MailboxOwnerSid="S-1-5-21-290112810-296651436-1966561949-1151" 
  CrossMailboxOperation="false" 
  LogonUserDN="Administrator"
  LogonUserSid="S-1-5-21-290112810-296651436-1966561949-1149">
  <SourceItems>
   <ItemId="0000000073098C3277988F4CB882F5B82EBF64610700A7C317F68C24304BBD18ABE1F185E79B00000026BD4F0000A7C317F68C24304BBD18ABE1F185E79B00000026BD540"
    Subject="Notification of litigation hold"
    FolderPathName="\Recoverable Items\Deletions" /> 
  </SourceItems>
</Event>
Campos úteis no registo de auditoria de caixas de correio

Preste atenção a estes campos. Eles poderão ajudá-lo a identificar informações específicas sobre cada instância de um acesso de não proprietário a uma caixa de correio.

 

Campo Descrição

Owner

O proprietário da caixa de correio que foi acedida por um não proprietário.

LastAccessed

A data e a hora em que a caixa de correio foi acedida.

Operation

A acção efectuada pelo não proprietário. Para mais informações, consulte a secção "O que é registado no registo de auditoria de caixas de correio?" de Executar um Relatório de Acesso a Caixa de Correio de Não Proprietário

OperationResult

Indica se a acção efectuada pelo não proprietário teve êxito ou falhou.

LogonType

O tipo de acesso de não proprietário. Os tipos de acesso incluem administrador, delegado e externo.

FolderPathName

O nome da pasta que continha a mensagem que foi afectada pelo não proprietário.

ClientInfoString

Informações sobre o cliente de correio utilizado pelo não proprietário para aceder à caixa de correio.

ClientIPAddress

O endereço IP do computador utilizado pelo não proprietário para aceder à caixa de correio.

InternalLogonType

O tipo de início de sessão da conta utilizada pelo não proprietário para aceder a esta caixa de correio.

MailboxOwnerUPN

O endereço de correio electrónico do proprietário da caixa de correio.

LogonUserDN

O nome a apresentar do não proprietário.

Subject

A linha de assunto da mensagem de correio electrónico que foi afectada pelo não proprietário.

 
Tópicos de ajuda relacionados
A carregar...
Não foram encontrados recursos.